Konnektor „Netskope Data Connector“ (über Azure Functions) für Microsoft Sentinel

Der Netskope-Datenkonnektor bietet die folgenden Funktionen:

  1. NetskopeToAzureStorage: Rufen Sie die Netskope-Warnungen und Ereignisdaten von Netskope ab, und posten Sie sie im Azure-Speicher.
  2. StorageToSentinel: Rufen Sie die Netskope-Warnungen und Ereignisdaten aus dem Azure-Speicher ab, und posten Sie sie in der benutzerdefinierten Protokolltabelle im Log Analytics-Arbeitsbereich.
  3. WebTxMetrics: Rufen Sie die WebTxMetrics-Daten aus Netskope ab, und posten Sie sie in einer benutzerdefinierten Protokolltabelle im Log Analytics-Arbeitsbereich.

Weitere Informationen zu den REST-APIs finden Sie in folgenden Dokumentation:

  1. Dokumentation zur Netskope-API
  2. Dokumentation zum Azure-Speicher
  3. Dokumentation zu Microsoft Log Analytics

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Netskope

Abfragebeispiele

Netskope CompromisedCredential-Warnungsdaten

alertscompromisedcredentialdata_CL

| sort by TimeGenerated desc

Netskope CTEP-Warnungsdaten

alertsctepdata_CL

| sort by TimeGenerated desc

Netskope DLP-Warnungsdaten

alertsdlpdata_CL

| sort by TimeGenerated desc

Netskope Malsite-Warnungsdaten

alertsmalsitedata_CL

| sort by TimeGenerated desc

Netskope Malware-Warnungsdaten

alertsmalwaredata_CL

| sort by TimeGenerated desc

Netskope-Richtlinien-Warnungsdaten

alertspolicydata_CL

| sort by TimeGenerated desc

Netskope-Quarantäne-Warnungsdaten

alertsquarantinedata_CL

| sort by TimeGenerated desc

Netskope-Behebungswarnungsdaten

alertsremediationdata_CL

| sort by TimeGenerated desc

Netskope SecurityAssessment-Warnungsdaten

alertssecurityassessmentdata_CL

| sort by TimeGenerated desc

Netskope Uba-Warnungsdaten

alertsubadata_CL

| sort by TimeGenerated desc

Netskope-Anwendungsereignisdaten.

eventsapplicationdata_CL

| sort by TimeGenerated desc

Netskope-Überprüfungsereignisdaten

eventsauditdata_CL

| sort by TimeGenerated desc

Netskope-Verbindungsereignisdaten

eventsconnectiondata_CL

| sort by TimeGenerated desc

Netskope-Vorfallereignisdaten

eventsincidentdata_CL

| sort by TimeGenerated desc

Netskope-Netzwerkereignisdaten

eventsnetworkdata_CL

| sort by TimeGenerated desc

Netskope-Seitenereignisdaten

eventspagedata_CL

| sort by TimeGenerated desc

Netskope WebTransactions-Metrikdaten

Netskope_WebTx_metrics_CL

| sort by TimeGenerated desc

Voraussetzungen

Für die Integration mit Netskope Data Connector (über Azure Functions) müssen die folgenden Voraussetzungen erfüllt sein:

  • Azure-Abonnement: Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • REST-API-Anmeldeinformationen/-Berechtigungen: Netskope-Mandant und Netskope-API-Token sind erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation in der REST-API-Referenz.

Installationsanweisungen des Anbieters

Hinweis

Dieser Konnektor verwendet Azure Functions, um eine Verbindung mit den Netskope-APIs herzustellen, damit die zugehörigen Warnungs- und Ereignisdaten in eine benutzerdefinierte Protokolltabelle gepullt werden können. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1 – App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Für diese Integration ist eine App-Registrierung im Azure-Portal erforderlich. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
  3. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.
  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
  5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
  6. Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt. Hier werden die Anwendungs-ID (Client) und die Mandanten-ID angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink: /azure/active-directory/develop/quickstart-register-app

SCHRITT 2 – Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Ein geheimer Clientschlüssel wird manchmal auch als Anwendungskennwort bezeichnet. Es handelt sich dabei um einen Zeichenfolgenwert, der für die Ausführung des TriggersSync-Playbooks erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie Zertifikate und Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
  3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
  4. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
  5. Wählen Sie Hinzufügen aus.
  6. Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des TriggersSync-Playbooks erforderlich.

Referenzlink: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 3 – Zuweisen der Rolle „Mitwirkender“ zur Anwendung in Microsoft Entra ID

Um die Rolle zuzuweisen, führen Sie die Schritte in diesem Abschnitt aus:

  1. Wechseln Sie im Azure-Portal zu Ressourcengruppen, und wählen Sie Ihre Ressourcengruppe aus.
  2. Wechseln Sie im linken Bereich zu Zugriffssteuerung (IAM).
  3. Klicken Sie auf Hinzufügen, und wählen Sie anschließend Rollenzuweisung hinzufügen aus.
  4. Wählen Sie Mitwirkenden als Rolle aus, und klicken Sie auf „Weiter“.
  5. Wählen Sie unter Zugriff zuweisen zu die Option User, group, or service principal aus.
  6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den von Ihnen erstellten App-Namen ein, und wählen Sie ihn aus.
  7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink: /azure/role-based-access-control/role-assignments-portal

SCHRITT 4 – Schritte zum Erstellen/Abrufen von Anmeldeinformationen für das Netskope-Konto

Führen Sie die Schritte in diesem Abschnitt aus, um den Netskope-Hostnamen und das Netskope-API-Token zu erstellen und abzurufen:

  1. Melden Sie sich bei Ihrem Netskope-Mandanten an, und wechseln Sie in der linken Navigationsleiste zum Menü „Einstellungen“.
  2. Klicken Sie auf „Extras“ und dann auf REST-API V2.
  3. Klicken Sie jetzt auf die Schaltfläche „Neues Token“. Anschließend werden der Tokenname, die Ablaufdauer und die Endpunkte angefordert, von denen Sie Daten abrufen möchten.
  4. Wenn dies abgeschlossen ist, klicken Sie auf die Schaltfläche „Speichern“. Daraufhin wird das Token generiert. Kopieren Sie das Token, und speichern Sie es an einem sicheren Ort für die weitere Verwendung.

SCHRITT 5 – Schritte zum Erstellen der Azure-Funktionen für die Sammlung von Netskope-Warnungen und -Ereignisdaten

WICHTIG: Für die Bereitstellung des Netskope-Datenkonnektors müssen Sie die Arbeitsbereich-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können im Folgenden kopiert werden) sowie die Autorisierungsschlüssel für die Netskope-API zur Hand haben.

Verwenden Sie die ARM-Vorlage, um die Funktions-Apps bereitzustellen, mit denen die Netskope-Warnungen und -Ereignisdaten in Sentinel erfasst werden.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Geben Sie die folgenden Informationen ein: Netskope-Hostname und Netskope-API-Token. Wählen Sie die Option „Ja“ im Dropdownmenü für die Warnungs- und Ereignistypen aus, die Sie für den Endpunkt abrufen möchten. Protokollstufe für Warnungen und Ereignisse, Arbeitsbereich-ID sowie Schlüssel für den Arbeitsbereich.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie nach der Validierung auf Erstellen, um die Bereitstellung durchzuführen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.